互聯(lián)網(wǎng)是一個相互連接的自治系統(tǒng)(AS域)的集合,由各種互聯(lián)網(wǎng)服務提供商(ISP)、大學和其它獨立機構管理,一般情況下,兩個AS之間通過專用的連接線路或IXP相互連接,在前一種情況下,根據(jù)雙方業(yè)務的協(xié)議,一方支付費用給另一方,來達到信息傳輸?shù)墓δ埽蛘唠p方根據(jù)商業(yè)協(xié)議各自支付一半的費用。很明顯,通過專用的BGP路由器進行連接只能促使一對連接相互成功互通。相反,IXP是一種共享的互聯(lián)基礎設施,其中多個自治系統(tǒng)可以通過IXP上的交換機和路由器彼此進行互連,每個AS只需要承擔自己到IXP所需要架設的設備的費用即可。
專用連接線路
當然,除了給IXP提供相應的設備管理費用外,更重要的是,AS可以在根據(jù)自身業(yè)務協(xié)議的情況下,盡可能的連接到更多的其它AS
IXP共享連接線路
專用線路情況下,在不使用技術手段暴力擊穿的情況下,基本不存在信息被劫持的風險。因為彼此之間的路線單一,沒有分叉,沒有第三方關系。相比IXP共享連接線路,由于多個自治系統(tǒng)的信息交換中心都處于同一個機房,彼此之間相對“裸露”而AS之間的又是由BGP路由進行廣播來向互聯(lián)網(wǎng)中傳輸信息,這樣就很容易被有目的的信息劫持,例如:
AS1<--->AS4進行正常的業(yè)務協(xié)議通信,AS1以廣播的形式通知全網(wǎng),持有IP:X.X.X.1
但AS3因為某些特殊原因需要對AS1與AS4之間的通信進行竊取劫持,于是在AS1進行廣播結束后,也進行一次廣播,將自己加入在BGP AS_Path中,這樣以來,導致AS1和AS4在進行通信時,經過了原本不需要經過的路徑節(jié)點。
數(shù)據(jù)印證
為了得到更全面的BGP路由視圖,我下載了三個月內所有的BGP路由表,并將它們合并在一個路由表中,并且將AS_Path全部解析去重,回環(huán)型路徑刪除。
選定其中一臺探測機的IP為探針,以探針為基礎,將解析出的AS_Path全部記錄下來,然后,通過搜索IXP數(shù)據(jù)庫中的IP塊,檢查轉發(fā)IP路徑中是否包含IXP的IP塊,進而對應AS_Path得出三個月中,路徑中是否存在,在選取時間段內被其它AS劫持的情況發(fā)生。
結論
由于主機硬件限制,BGP數(shù)據(jù)非常大,3個月的數(shù)據(jù)已經足夠撐爆硬盤...
在有限的數(shù)據(jù)集中,并沒有發(fā)現(xiàn)路徑中存在明顯的劫持特征,這種情況有兩種可能:
- 網(wǎng)絡空間中信息劫持已經是明目張膽,不需要銷毀證據(jù),一次劫持永久劫持,劫持路徑點已經成為被當做正常路徑點出現(xiàn)在路徑中
- 發(fā)生劫持的時間點,剛好避開我所選取的時間段
總之,在互聯(lián)網(wǎng)發(fā)展的今天,網(wǎng)絡安全越來越被大家關注,相比較使用暴力手段擊穿終端機進行信息竊取,在通信過程中進行劫持轉發(fā)會更加具有隱蔽性,且開銷最低,所以,通信網(wǎng)絡的搭建,交換中心的規(guī)范化建設,以及網(wǎng)絡拓撲地圖的繪制就成為網(wǎng)絡安全的新方向。
